דלגו לתוכן
אסטרטגיה4 ביולי 20268 דק׳ קריאה

יועץ סייבר ניטרלי מול MSSP ואינטגרטור — מה ההבדל ולמי כל אחד מתאים?

מי שמוכר לכם גם את הכלי לא תמיד ימליץ נגדו. מה ההבדל בין ייעוץ בלתי תלוי, שירותי SOC מנוהלים ואינטגרציה — מתי כל מודל נכון, ואיך הם משתלבים בלי ניגוד עניינים.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

״אנחנו צריכים ספק אבטחת מידע״ — זה משפט שאנחנו שומעים כמעט בכל שיחה ראשונה עם הנהלה. הבעיה: מאחורי הכותרת ״ספק אבטחת מידע״ מסתתרים לפחות שלושה מודלים עסקיים שונים לחלוטין — יועץ סייבר בלתי תלוי, ספק שירותי אבטחה מנוהלים (MSSP) ואינטגרטור. שלושתם לגיטימיים, שלושתם נחוצים בהקשרים הנכונים, ולרוב הם משלימים זה את זה — אבל הם עונים על שאלות שונות, מתומחרים אחרת, ונושאים תמריצים שונים. ארגון שלא מבין את ההבדל עלול לקנות ניטור כשהוא צריך אסטרטגיה, או לקנות אסטרטגיה כשמה שבוער לו הוא מישהו שיענה לאזעקות בשלוש בלילה. במאמר הזה נגדיר כל מודל בבהירות, נשווה ביניהם בטבלה אחת, נדבר בכנות על ניגוד עניינים — ונראה איך שלושתם עובדים יחד בארגון בריא.

למי המאמר מיועד

למנכ״לים, סמנכ״לי כספים ומנהלי IT בחברות ישראליות שבוחנים איך לבנות את מערך אבטחת המידע שלהם — ובעיקר למי שקיבל הצעות מכמה גורמים שנראים דומים על הנייר, ומנסה להבין מה בעצם ההבדל ביניהם.

למה הבלבול קיים בכלל

הבלבול אינו מקרי, והוא גם לא אשמת הלקוחות. בשוק הישראלי (וגם בעולמי) כמעט כל שחקן בתחום מציג את עצמו תחת אותן כותרות: ״שירותי אבטחת מידע״, ״פתרונות סייבר״, ״הגנה מקצה לקצה״. חברה אחת מתכוונת בזה לחדר בקרה מאויש 24/7, השנייה למכירה והטמעה של מוצרי אבטחה, והשלישית לליווי ייעוצי ורגולטורי. לזה מתווסף מבנה שוק שבו חברות רבות מציעות כמה מהשירותים במקביל — אינטגרטור שמפעיל גם SOC, או MSSP שמציע גם ״ייעוץ״ — כך שהגבולות מיטשטשים עוד יותר.

התוצאה בשטח: הנהלות משוות בין הצעות מחיר שבכלל לא מתייחסות לאותו שירות. הצעה של יועץ בלתי תלוי לתוכנית עבודה שנתית ותהליך ציות נראית ״יקרה״ מול ריטיינר חודשי של ניטור — עד שמבינים שמדובר בשני מוצרים שונים, שכל אחד מהם פותר בעיה אחרת. הצעד הראשון בכל החלטת רכש נבונה הוא לשאול: איזו בעיה אנחנו בעצם מנסים לפתור?

שלוש שאלות שונות — שלושה מודלים שונים

הדרך הפשוטה ביותר להבחין בין שלושת המודלים היא לפי השאלה שכל אחד מהם עונה עליה:

היועץ הבלתי תלוי עונה על: ״מה נכון לעשות?״

יועץ סייבר ניטרלי — לרוב במודל של CISO כשירות, ממונה הגנת פרטיות חיצוני או ליווי פרויקטלי — עוסק בשכבת ההחלטות: מיפוי סיכונים, קביעת סדרי עדיפויות, בניית מדיניות ונהלים, עמידה ברגולציה (תיקון 13, תקנות אבטחת מידע, ISO 27001), הגדרת דרישות לספקים וליווי ההנהלה מול דירקטוריון, מבטחים ולקוחות אנטרפרייז. המאפיין המהותי של המודל: היועץ לא מוכר מוצרים ולא מרוויח מהטמעתם. ההכנסה שלו מגיעה מזמן מקצועי ומאחריות מקצועית — ולכן ההמלצה שלו יכולה להיות גם ״אל תקנו את זה״, או ״הכלי שכבר יש לכם מספיק״.

ה-MSSP עונה על: ״מי משגיח בלילה?״

ספק שירותי אבטחה מנוהלים (Managed Security Service Provider) מפעיל יכולת שאף יועץ לא יכול ולא אמור לספק: ניטור רציף 24/7 באמצעות מרכז בקרה (SOC), ניהול מערכות EDR/XDR, זיהוי אנומליות, טריאז׳ של התראות ותגובה מיידית לאירועים — כולל בלילות, בסופי שבוע ובחגים. עבור ארגון שאין לו צוות אבטחה פנימי מסביב לשעון (כלומר: הרוב המוחלט של החברות הקטנות והבינוניות), זהו ערך אמיתי שאין לו תחליף. מתקפות כופר לא מחכות לשעות הפעילות, וההבדל בין זיהוי תוך שעה לזיהוי ביום ראשון בבוקר יכול להיות ההבדל בין אירוע מוכל לאסון עסקי. MSSP טוב הוא שריר מבצעי — הוא מצוין בלתפעל, לזהות ולהגיב.

האינטגרטור עונה על: ״מי מקים ומתחזק?״

האינטגרטור הוא הזרוע המבצעת של עולם התשתיות: רישוי ואספקה של מוצרי אבטחה (חומות אש, הגנת תחנות קצה, אבטחת ענן, ניהול זהויות), תכנון ארכיטקטורה, הקמה, הגדרה (Hardening), שדרוגים ותחזוקה שוטפת. פרויקט הטמעה רציני — הקמת סגמנטציה ברשת, מעבר לניהול זהויות מרכזי, פריסת פתרון גיבוי והתאוששות — דורש ידע הנדסי עמוק, הסמכות יצרן וכוח אדם טכני שאין היגיון שכל ארגון יחזיק בעצמו. אינטגרטור מקצועי הוא מי שהופך החלטה נכונה למערכת שעובדת בפועל.

טבלת השוואה: מה באמת קונים מכל אחד

מאפייןיועץ בלתי תלויMSSPאינטגרטור
מה קונים בפועלהחלטות, אסטרטגיה, ציות ורגולציה, ניהול סיכונים, ייצוג מול הנהלה ומבקריםניטור SOC 24/7, ניהול EDR, טיפול בהתראות ותגובה לאירועיםרישוי מוצרים, תכנון, הקמה, הגדרה ותחזוקה של תשתיות אבטחה
מודל תמחור אופייניריטיינר חודשי או פרויקט לפי היקף — ללא תלות במוצרים שיירכשומנוי חודשי, לרוב לפי מספר תחנות/משתמשים/מקורות מידע מנוטריםעלות רישוי ומוצרים + שעות הקמה ותחזוקה או חוזה שירות
ניגוד עניינים פוטנציאלינמוך במובנה — לא מרוויח מהמלצה על מוצר או ספק; נדרש לשמור על אי-תלות בפועלתמריץ להרחיב את סל השירותים המנוהלים ולהמליץ על הכלים שהוא מתופעל עליהםתמריץ להמליץ על המוצרים שהוא מפיץ ועל פרויקטים שהוא יבצע
מתי הוא חיוניבניית תוכנית אבטחה וציות, רגולציה (תיקון 13, ISO 27001), ליווי רכש גדול, דרישות דירקטוריון וביטוחכשאין צוות פנימי מסביב לשעון וכשזמן תגובה לאירוע הוא קריטי — כלומר כמעט תמיד מגודל מסויםפרויקטי תשתית והטמעה, סביבות מורכבות, ותחזוקה שוטפת של מערך קיים

ניגוד העניינים — לדבר על זה בכנות

נאמר את זה בזהירות ובהגינות: העובדה שלספק יש אינטרס מסחרי איננה עדות לחוסר יושרה. רוב אנשי המקצוע ב-MSSPים ובאינטגרטורים בישראל הם מקצוענים אמיתיים שרוצים בטובת הלקוח. אבל מבנה תמריצים הוא עובדה כלכלית, לא האשמה: כשהגורם שממליץ מה לקנות הוא גם הגורם שמוכר את מה שהוא ממליץ עליו — קיים תמריץ מובנה, גם אצל האנשים ההגונים ביותר. השאלה ״האם באמת צריך את הרכיב הזה, או שהחלופה הזולה מספיקה?״ נשמעת אחרת כשהעונה עליה מתוגמל על התשובה.

בדיוק מהסיבה הזו, עולמות הביקורת והרגולציה מקדשים את עקרון הפרדת התפקידים: מי שמבקר לא מבצע, מי שמגדיר דרישות לא מוכר את הפתרון, ומי שבודק עמידה לא נמדד על היקף המכירה. זה אותו היגיון שמונע מרואה החשבון המבקר למכור לחברה את מערכת הנהלת החשבונות שלה. ההשלכה המעשית לארגונים: רכש אבטחה משמעותי כדאי שילווה גורם מקצועי שלא מרוויח מהעסקה — מישהו שיגדיר דרישות, ישווה הצעות, יאתגר את המפרט ויוודא שמה שנרכש באמת נדרש ובאמת נפרס. זה לא נגד ה-MSSP או האינטגרטור; להפך, ספקים טובים דווקא אוהבים לעבוד מול לקוח עם דרישות מוגדרות — זה חוסך ויכוחים, יישור ציפיות וכאבי ראש לכל הצדדים.

שקיפות: איפה Cybertis במגרש הזה

Cybertis פועלת במודל הייעוץ הבלתי תלוי — אנחנו לא מוכרים מוצרים, לא מקבלים עמלות מיצרנים ולא מספקים שירותי SOC. זה המגרש שלנו, וחשוב לנו לומר זאת בגלוי: כשאנחנו כותבים שרכש גדול צריך ליווי ניטרלי, אנחנו מתארים גם את השירות שאנחנו עצמנו מציעים. מצד שני, בדיוק בגלל שאיננו מתחרים ב-MSSPים ובאינטגרטורים — אנחנו יכולים להמליץ עליהם בלב שלם כשהם הפתרון הנכון, ואנחנו עושים זאת בקביעות.

איך זה נראה ביחד: שלושה תפקידים, מערך אחד

בארגון שבנוי נכון, שלושת המודלים אינם מתחרים — הם שכבות של אותו מערך. היועץ מגדיר מה צריך ולמה; האינטגרטור מקים ומתחזק את האיך; וה-MSSP מפעיל את השוטף ומגיב כשמשהו קורה. חלוקת אחריות (RACI) פשוטה ממחישה זאת:

פעילותיועץ בלתי תלויMSSPאינטגרטור
הערכת סיכונים ותוכנית עבודהאחראי ומבצע (R/A)מיודע (I)מיודע (I)
הגדרת דרישות לרכש וליווי מכרזאחראי ומבצע (R/A)מתייעצים איתו (C)מתייעצים איתו (C)
הקמה והטמעה של מערכותמפקח ומאשר (A)מיודע (I)מבצע (R)
ניטור שוטף ותגובה ראשונית לאירועיםמיודע (I)מבצע (R)מתייעצים איתו (C)
ניהול אירוע משמעותי מול הנהלה ורגולטוראחראי ומוביל (A)מבצע טכני (R)מתייעצים איתו (C)
ציות ורגולציה (תיקון 13, ISO 27001)אחראי ומבצע (R/A)מספק ראיות (C)מספק ראיות (C)

שימו לב לדפוס: היועץ כמעט אף פעם אינו ״המבצע״ של עבודה טכנית, וה-MSSP והאינטגרטור כמעט אף פעם אינם ״האחראי״ מול ההנהלה והרגולטור. כשכל אחד יושב בכיסא הנכון — אין כפילות, אין חיכוך, ויש למי לפנות בכל שאלה. הרחבנו על הצד הניהולי של המשוואה במאמר CISO חיצוני מול מנהל אבטחת מידע שכיר.

מה לבחור קודם? ארבעה תרחישים מהשטח

  1. סטארטאפ או עסק קטן (עד כמה עשרות עובדים), בלי אף גורם אבטחה. התחילו מהערכת מצב ותוכנית ממוקדת — ניתוח פערים וסיכונים חד-פעמי עם יועץ, שיגדיר מה באמת דחוף. לרוב יתברר שהצעדים הראשונים הם היגייניים (הרשאות, גיבויים, אימות רב-שלבי, נהלים) ולא רכש גדול. MSSP ואינטגרטור נכנסים בשלב הבא, עם דרישות מוגדרות.
  2. חברה בינונית עם IT פנימי אבל בלי ניטור. אם יש לכם תשתית סבירה אבל אף אחד לא מסתכל על ההתראות אחרי 18:00 — הפער הבוער הוא ככל הנראה MSSP. גם כאן, שווה שגורם ניטרלי יגדיר את דרישות השירות (מה מנוטר, מה זמני התגובה, איך נמדדת האיכות) לפני החתימה, כדי שתקנו את מה שאתם צריכים ולא את מה שקל למכור.
  3. ארגון לפני פרויקט תשתית גדול — החלפת מערך הגנה, מעבר לענן, סגמנטציה. כאן האינטגרטור הוא השחקן המרכזי, והבחירה בו קריטית. ליווי ניטרלי בשלב המפרט וההשוואה בין הצעות משפר כמעט תמיד גם את המחיר וגם את ההתאמה — ומונע רכש של רכיבים שלא ינוצלו.
  4. חברה תחת דרישה רגולטורית או חוזית — תיקון 13, ISO 27001, ביקורת לקוח אנטרפרייז. התחילו מיועץ: רגולציה היא קודם כל תרגיל של מיפוי, מדיניות, נהלים וראיות — לא של מוצרים. ה-MSSP והאינטגרטור יספקו חלק מהראיות והבקרות, אבל מישהו צריך לתרגם את דרישות הרגולטור לתוכנית עבודה ולעמוד מאחוריה מול המבקר.

השורה התחתונה

יועץ בלתי תלוי, MSSP ואינטגרטור אינם מתחרים על אותו תפקיד — הם עונים על שלוש שאלות שונות: מה נכון לעשות, מי משגיח בלילה, ומי מקים ומתחזק. ארגון בוגר צריך, במוקדם או במאוחר, את שלושתם. הסדר הנכון ברוב המקרים: להתחיל מתמונת מצב והגדרת דרישות (שכבת הייעוץ), להקים על בסיסן את התשתית (אינטגרטור), ולוודא שיש עין פקוחה על כל זה מסביב לשעון (MSSP). והכלל המנחה לכל רכש משמעותי פשוט: ודאו שלפחות גורם מקצועי אחד בשולחן לא מרוויח מהעסקה. זה לא חוסר אמון בספקים — זו פשוט הפרדת תפקידים בריאה, מאותה סיבה שמבקר לא מבצע ומוכר לא מפקח על עצמו.

Cybertis מספקת שירותי ייעוץ סייבר בלתי תלוי — CISO כשירות, ממונה הגנת פרטיות חיצוני, ליווי רגולציה וליווי רכש — בלי למכור מוצרים ובלי עמלות. נשמח לעזור לכם להגדיר מה הארגון שלכם באמת צריך, ומאיזה ספק כדאי לקנות את זה.

לשירות CISO כשירות

*האמור במאמר זה הוא מידע כללי בלבד ומשקף את ניסיוננו המקצועי; הוא אינו מהווה ייעוץ פרטני. בחירת מודל ההתקשרות הנכון תלויה במאפייני הארגון, בדרישות הרגולטוריות החלות עליו ובמערך הקיים, ומחייבת בחינה פרטנית. כמפורט במאמר, Cybertis פועלת במודל הייעוץ הבלתי תלוי — יש לקחת זאת בחשבון בקריאת ההשוואה.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il